管理系统员操作手册簿-AD域控及组策略管理系统_51CTO下载

1、wordAD域控与组策略管理目录一、Active Directory(AD)活动目录简介41、工作组与域的区别42、公司采用域管理的好处43、Active Directory(AD)活动目录的功能6二、AD域控DC根本操作61、登陆AD域控62、新建组织单位OU83、新建用户104、调整用户115、调整计算机14三、AD域控常用命令151、创建组织单位：(dsadd)152、创建域用户(dsadd)153、创建计算机(dsadd)154、创建联系人(dsadd)165、修改活动目录对象dsmod166、其他命令dsquery、dsmove、dsrm17四、组策略管理191、打开组策略管理器192、受信任的根证书方法机构组策略设置203、IE安全与隐私组策略设置254、注册表项推送30五、设置DNS转发33一、 Active Directory(AD)活动目录简介1、工作组与域的区别域管理与工作组管理的主要区别在于：1、工作组网实现的是分散的管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。在网上邻居中能够

2、看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器，由浏览主控服务器提供的。而域网实现的是主/从管理模式，通过一台域控制器来集中管理域用户和权限，信息保存在域控制器，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。这就是两者最大的不同。2、在“域模式下，资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器Domain Controller，简写为DC。3、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。而工作组只是进展本地电脑的信息与安全的认证。2、公司采用域管理的好处1、方便管理,权限管理比拟集中，管理人员可以较好的管理计算机资源。2、安全性高，有利于

3、企业的一些资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。3、方便对用户操作进展权限设置，可以分发，指派软件等,实现网络的软件一起安装。4、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(服务器)、ISA SERVER(上网的各种设置与管理)等。5、使用漫游账户和文件夹重定向技术，个人账户的工作文件与数据等可以存储在服务器上，统一进展备份、管理，用户的数据更加安全、有保障。6、方便用户使用各种资源。7、SMSSystem Management Server能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。并能集中管理系统补丁如Windows Updates，不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。8、资源共享用户和管理员可以不知道他们所需要的对象确实切名称，但是他们可能知道这个对象的一个或多个属性，他们可以通过查找对象的局部属性在域中得到一个所有属性相匹配的对象列表，通过域使得基于一个或者多个对象属性来查找一个对象变得可能。9、管理域控制

4、器集中管理用户对网络的访问，如登录、验证、访问目录和共享资源。为了简化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上进展修改，这种更新可以复制到域中所有的其他域控制器上。域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录，管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中，当用户一次登陆一个域服务器后，就可以访问该域中已经开放的全部资源，而无需对同一域进展屡次登陆。但在需要共享不同域中的服务时，对每个域都必须要登陆一次，否如此无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。10、可扩展性在活动目录中，目录通过将目录组织成几个局部存储信息从而允许存储大量的对象。因此，目录可以随着组织的增长而一同扩展，允许用户从一个具有几百个对象的小的安装环境开展成拥有几百万对象的大型安装环境。11、安全性域为用户提供了单一的登录过程来访问网络资源，如所有他们具有权限的文件、打印机和应用程序资源。也就是说，用户可以登录到一台计算机来使用网络上另外一台计算机上的资源，只要用户具有对资源的适宜权限。域通过对用户权

5、限适宜的划分，确定了只有对特定资源有合法权限的用户才能使用该资源，从而保障了资源使用的合法性和安全性。12、可冗余性每个域控制器保存和维护目录的一个副本。在域中，你创建的每一个用户都会对应目录的一个记录。当用户登录到域中的计算机时，域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时，他们会定期的相互复制目录信息，域控制器间的数据复制，促使用户信息发生改变时比如用户修改了口令，可以迅速的复制到其他的域控制器上，这样当一台域控制器出现故障时，用户仍然可以通过其他的域控制进展登录，保障了网络的顺利运行。3、Active Directory(AD)活动目录的功能活动目录(Active Directory)主要提供以下功能：1、根底网络服务：包括DNS、WINS、DHCP、证书服务等。2、服务器与客户端计算机管理：管理服务器与客户端计算机账户，所有服务器与客户端计算机参加域管理并实施组策略。3、用户服务：管理用户域账户、用户信息、企业通讯录与电子系统集成、用户组管理、用户身份认证、用户授权管理等，按地市实施组管理策略。4、资源管理：管理打印机、文件共享服务等网络资源。5

6、、桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。6、应用系统支撑：支持财务、人事、电子、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。二、 AD域控DC根本操作1、登陆AD域控登陆到本地市的域控服务器，依次点击“开始-管理工具-Active Directory 用户和计算机，如如下图：图2-1进入如下管理界面：图2-2以市公司为例：在的只读域控服务器上可以看到个省公司下各地市的节点：但是只能对自己公司的节点进展维护：图2-32、新建组织单位OUOU(Organizational Unit，组织单位)是可以将用户、组、计算机和其它组织单位放入其中的AD容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。通俗一点说，如果把AD比作一个公司的话，那么每个OU就是一个相对独立的部门。图1-3中以图标开头的均表示组织单位，假如需要添加组织单位时，在需要添加的组织单位的上级节点依次点击点击“右键-新建-组织单位，如如下图：图2-4填写组织单位名称-点击确定图2-4既可在选中的组织单位节点下新增组织

7、单位。注：删除组织单位时，要在查看中勾选高级功能图2-5然后选中的组织单位属性-对象中将“防止对象被意外删除前的勾去掉，才能删除。图2-63、新建用户图2-1 右侧窗口中以图标开头的就是用户。与新建组织单位相似。对自己有权操作维护的组织单位点击“右键-新建-用户，填写用户根本信息，点击下一步。图2-7填写初始密码，点击下一步图2-8点击完成图2-9既可在选中的组织单位节点下新增用户图2-104、调整用户右键点击用户-属性图2-11进入用户信息修改：图2-12其中常规中必填图2-13选项卡中移动必填图2-14单位选项卡中所有信息必填图2-15注：直接下属不需要维护这几个选项卡是常用，并且需要注意的。5、调整计算机当用户利用自己的参加域后，在AD管理工具中就能看到登入域的计算机右键点击计算机可对其进展管理图2-16三、 AD域控常用命令AD域控管理命令可以用命令行的方式，依次点击“开始-运行-cmd，打开命令行工具。AD域控常用命令有很多，下面列举一些比拟常见的例子：1、创建组织单位：(dsadd)命令格式：dsaddou -desc描述 -s 服务器|-d 域 -u 用户名 -p 密码|

8、* -q -uc|-uoc|-uci注意：OU名称应为要创建的OU的LDAP绝对路径DN，Distinguished Name，如果DN中包含空格，应该在路径两端使用双引号。例如要在yjx.域中建立一个名为finance的OU，可以执行以下命令：C:dsaddouou=finance,dc=yjx,dc= -desc 财务部2、创建域用户(dsadd)命令格式：dsadd user -samid -pwd |* upn UPN例如要在yjx.域中建立一个名为mike的用户，该用户将位于sales OU中，其显示名称为“mike yang，如此可以执行以下命令：C:dsadd user=mike,ou=sales,dc=yjx,dc= -samid mike -pwd benet3.0 -display “mike yang3、创建计算机(dsadd)命令格式：dsadd puter 要在yjx.域中的sales OU中建立一个名为client-2的计算机，可以执行以下命令：C:dsadd puter=client-2,ou=sales,dc=yjx,dc=要在yjx.域中的sales OU中建立一个名为client-3的计算机，并设置计算机账户的描述信息为“测试工作站，可以执行以下命令：C:dsadd puter=client-3,ou=sales,dc=yjx,dc= -desc测试工作站4、创建联系人(dsadd)命令格式：dsadd contact -fn -mi -ln -display -desc要在yjx.域中的sales OU中建立一个名为建新的联系人，执行以下命令：C:dsadd contact=建新,ou=sales,dc=yjx,dc= -fnjianxin -ln yang -display 建新5、修改活动目录对象dsmod用于修改AD对象的属性，可以对OU、用户、组、联系人等对象进展修改。C:dsmod user /?描述: 修改目录中现有的用户。语法: dsmod user -upn -fn -mi -ln -display

《管理系统员操作手册簿-AD域控及组策略管理系统_51CTO下载》由会员汽***分享，可在线阅读，更多相关《管理系统员操作手册簿-AD域控及组策略管理系统_51CTO下载》请在金锄头文库上搜索。